Мексиканський стартап із трьох розробників отримав рахунок за ШІ, який у 455 разів перевищив звичайну норму. Причиною став викрадений API-ключ, через який зловмисники отримали масовий доступ до Google Gemini. Маленька компанія намагалася врегулювати питання з Google, сподіваючись на списання коштів, проте техгігант відмовився переглядати суму до оплати.
Мексиканський стартап із трьох розробників отримав рахунок за ШІ, який у 455 разів перевищив звичайну норму. Причиною став викрадений API-ключ, через який зловмисники отримали масовий доступ до Google Gemini. Маленька компанія намагалася врегулювати питання з Google, сподіваючись на списання коштів, проте техгігант відмовився переглядати суму до оплати.
Один із постраждалих розробників поділився деталями інциденту на Reddit. Згідно з дописом, API-ключ Google Cloud був скомпрометований у період між 11 та 12 лютого. Зловмисники здебільшого використовували його для доступу до сервісів Gemini 3 Pro Image та Gemini 3 Pro Text.
Зазвичай щомісячні витрати стартапу на ШІ-сервіси становили близько $180, проте несанкціоноване використання призвело до появи рахунку на суму $82 314,44. Розробники зазначають, що працювали в умовах обмеженого бюджету, сподіваючись, що їхній продукт з часом стане прибутковим. Вони побоюються, що навіть якщо їх змусять сплатити лише третину від цієї суми, такі витрати однаково можуть призвести бізнес до банкрутства.
Представник Google Маунтін-В’ю заявив, що клієнти, які використовують сервіси генеративного ШІ, несуть відповідальність за захист власних облікових даних, згідно з Моделлю спільної відповідальності платформи. Відповідно до цієї структури, користувачі мають впроваджувати належні заходи безпеки, оскільки постачальники послуг не беруть на себе відповідальність за зловживання, що виникли внаслідок компрометації ключів автентифікації.
Розробники заявили, що не вважають свою операційну помилку «очевидною». Виявивши компрометацію ключа, вони спробували захистити свою систему: видалили відкриті ключі, вимкнули доступ до Google Gemini API та активували двофакторну автентифікацію для всіх облікових записів. Вони також відкрили тікет у службі підтримки Google, проте повідомляють, що досі не отримали жодного дієвого рішення.
Один із розробників на Reddit додав, що хмарні провайдери мають впроваджувати надійніші механізми захисту від аномальних рахунків. Він запропонував платформам автоматично зупиняти роботу сервісів або вимагати підтвердження оплати, коли витрати досягають критичних порогів, зауваживши, що наразі механізми обов’язкового підтвердження під час раптових стрибків трафіку відсутні.
«Стрибок зі $180 на місяць до $82 000 за 48 годин — це не „природне коливання“. Це очевидне зловживання», — заявив айтівець.
Мексиканська команда звернулася за порадою до онлайн-спільноти розробників. Деякі фахівці застерегли від надмірного покладання на ресурсомісткі сервіси, такі як API генеративного ШІ сімейства Gemini. Також з’явилися суперечливі твердження щодо того, чи не завантажили самі розробники скомпрометований ключ у публічні репозиторії (наприклад, GitHub) — цей момент є ключовим для «Моделі спільної відповідальності», на якій наголошує Google. Згодом розробники заперечили твердження про те, що ключ був залишений у відкритому доступі навмисно.
До впровадження сучасних методів автентифікації в сервісах генеративного ШІ деякі застарілі системи API вважалися вразливішими до зламів. Розробники переконані, що цей випадок допоможе привернути увагу до ширших проблем безпеки та захисту білінгу в середовищах хмарних обчислень. За наявною інформацією, вони також подали скаргу до Федерального бюро розслідувань (ФБР).
